网络安全横向移动指南
在网络安全方面,了解威胁参与者的工具、技术和思维过程非常重要。
一旦对手获得对网络的初始访问权限,横向移动允许他们通过破坏目标组织网络中的其他主机来扩展访问权限并保持持久性。
威胁行为者可以收集有关公司用户活动和凭据、重要数据位置的信息,并利用提升权限的方法成功完成他们的攻击、盗窃或间谍活动。
什么是横向移动?
横向移动是网络攻击者使用的一种常见策略,用于在整个网络中旋转,以便访问受害组织的敏感信息和用户信息。
威胁行为者获得公司网络的访问权限后,通常会尝试通过横向移动和侦察收集尽可能多的有关组织的信息,包括关键信息的位置、用户活动、如何获得特权以及如何避免被发现。
在企图进行任何盗窃或损坏之前,所有这些信息都是在尽可能多的组件或设备上秘密收集的。
例如,通过横向移动进行侦察可以帮助网络攻击者了解如何加密或泄露敏感数据,具体取决于哪些机器传输的信息量最大。
它还可以揭示网络上的哪些机器可能持有帐户或子网数据、如何提升权限以获得管理或系统访问权限,或者密码可能存储在何处。
未检测到成功的横向移动的时间越长,威胁参与者在网络中的立足点就越大。
为什么攻击者使用横向移动
横向移动可能是网络攻击者可以采用的一种非常有效的策略,因为它可以让他们了解有关受害组织网络的大量信息。
BianLian组织是最近使用横向移动的威胁行为者的例子。通常通过横向移动,在网络攻击的这个阶段收集的所有信息都可以帮助威胁参与者确定窃取或破坏目标企业的最有效方法。
它还系统地允许他们获得对网络多个部分的持久性,这意味着即使他们在一台设备上被检测到,他们也可以在其他区域继续他们的攻击。
横向移动通常包括:
-
网络发现:攻击者有机会查看和了解组织的网络、识别信任边界并了解哪些类型的用户拥有哪些级别的访问权限。
-
防御闪避:利用这些获得的知识,网络攻击者可以将他们的行为与典型的用户行为相匹配,从而最大限度地减少被发现的机会。
-
收集和渗漏:威胁行为者使用横向移动来找到他们的目标位置,以泄露敏感数据。
-
特权升级:通过窃取有效凭据,威胁行为者可以在管理级别获得额外特权,以进一步渗透系统并实现邪恶目标。
攻击者如何实现横向移动
威胁行为者采用各种技术成功实现横向移动。他们包括:
-
凭据访问攻击
-
利用远程服务攻击
-
哈希传递攻击
-
票据传递攻击
-
Cookie盗窃攻击
-
污染共享内容攻击
凭证访问攻击
为了开始横向移动活动,网络攻击者必须获得有效凭证才能访问组织的系统,通常是通过单个设备。获得访问权限后,他们可以移动到需要与原始机器相同权限级别的其他机器。
威胁行为者可以通过凭证转储、密码存储或捕获输入来获取初始权限。当诸如 mimikatz (一种开源恶意软件程序)之类的工具访问操作系统中存储的凭据时,就会发生凭据转储。
密码管理器或 Web 浏览器等常见密码存储位置可以被窃听,威胁行为者还可以在用户键入或复制密码以获取访问权限时记录击键或监视剪贴板。
利用远程服务攻击
远程服务通常用于成功的横向移动。SMB 和 RDP 有几个众所周知的漏洞。除了操作系统本机服务外,IT 和系统管理员使用的远程访问软件也可能被威胁参与者滥用和利用,以成功进行横向移动。
哈希传递攻击
该技术使用窃取的密码哈希值(通常通过凭证转储获得)来规避身份验证控制。威胁行为者无需破解哈希即可有效使用它们,而是利用身份验证协议。
票据传递攻击
与 Pass the Hash 非常相似,票据传递攻击是 Kerberos 变体,它使用偷来的 Kerberos 票证横向移动。不需要访问帐户的明文密码。
Cookie盗窃攻击
为了验证 Web 应用程序,会话 cookie 被窃取然后重放。这是未正确管理的单点登录设备中的一个重大漏洞。
污染共享内容攻击
上传恶意代码或破坏共享驱动器上现有文件的威胁行为者可以在其他用户访问此共享内容时成功地在网络内横向移动。
使用横向移动的攻击类型
当今各种各样的网络攻击都使用横向移动。它们包括但不限于:
-
勒索软件
-
数据渗漏
-
间谍
-
僵尸网络感染
勒索软件
勒索软件可能是最广为人知和最令人恐惧的网络攻击类型,它持有关键数据或网络访问作为人质,直到向威胁行为者支付大笔资金。
横向移动可以让这些网络攻击者感染网络中的多个设备,从而获得对组织的影响力。通过以关键任务服务器为目标,威胁行为者可以停止企业的日常工作流程,使员工在支付赎金之前无法正常工作或为客户提供服务。
此外,威胁行为者可能会泄露敏感信息,并威胁如果不满足赎金条款,就会删除、加密或将数据发布到暗网上。
数据渗漏
由于敏感数据通常存储在受保护的环境中,因此必须使用横向移动技术在信息被盗之前找到并访问这些信息。
一旦成功,威胁行为者就可以复制这些敏感数据,包括知识产权、客户身份或财务信息,并用它来破坏组织或持有它以索取赎金。
间谍
尽管网络攻击通常与数据和身份盗窃或勒索软件攻击有关,但它们也可用于间谍活动或网络间谍活动。
与典型的攻击不同,参与间谍活动的威胁参与者希望在整个网络中游荡时尽可能长时间不被发现。
横向移动允许这些人观察用户在网络上的行为,并收集有关系统随时间在做什么的重要信息。
僵尸网络感染
横向移动可以有效地增加网络攻击者在僵尸网络感染中可以控制的设备数量。
在僵尸网络攻击期间,威胁行为者接管系统内的多个设备,并使用恶意软件将它们置于自己的控制之下。
通常称为分布式拒绝服务 (DDoS) 攻击,这些违规行为导致合法个人无法通过网络中断使用设备。
停止横向移动
通过采用有效的安全控制措施来打击横向移动,组织可以在横向移动活动影响其网络或系统之前停止横向移动活动。
以下是这样做的关键行动:
-
使用双因素身份验证 (2FA):此安全方法要求用户提供两种形式的身份验证以访问数据,帮助企业监控和保护敏感数据和关键网络。
-
实施最小权限:确保所有用户只能访问其工作所需的数据和资源级别,不能超过。严密保护管理和系统访问。
-
适当地分割网络:监控信任边界并确保网络被分割以防止横向移动。
-
最大限度地利用现有的安全工具:许多组织利用安全基础设施附带的大量安全设备和工具来检测异常登录。例如,利用云服务中的条件访问策略。
-
主动寻找威胁:不要因安全警报而超载。投资安全解决方案,提供可操作的威胁情报和搜寻,以最大限度地减少误报并解决关键问题。
-
与专业合作:专业安全服务商为公司提供多年的网络安全管理经验和威胁防御。对于尚未准备好的企业,采用是很好的解决方案。
理想情况下,您的安全团队的横向移动检测和响应将遵守 1-10-60 规则。
简而言之,当您的网络基础设施受到攻击时,应该需要 1 分钟的检测时间、10 分钟的调查时间和 60 分钟的时间来解决威胁。
对横向移动网络安全的思考
尽管横向移动对于当今的威胁行为者来说是一种常见且有效的策略,但经验丰富的安全专家可以帮助组织减轻他们可能造成的损害。
来自专业的网络安全服务包括横向移动检测,使组织能够在攻击者有机会在其网络中站稳脚跟之前定位并消灭他们,让他们高枕无忧。